독일 사이버 범죄의 급습(Überfall): 유럽 데이터 유출 지형의 변화
Google Threat Intelligence Group
Google Threat Intelligence
Visibility and context on the threats that matter most.
Contact Us & Get a Demo사이버 범죄자들이 다시 독일을 정조준하기 시작했습니다.
독일은 유럽 내 사이버 협박의 주요 표적이라는 지위를 다시금 차지하게 되었습니다. 2025년 전 세계적으로 데이터 유출 사이트(DLS) 게시물이 약 50% 증가한 가운데, 구글 위협 인텔리전스(GTI) 데이터에 따르면 이러한 급증세가 주변국보다 독일 인프라에 더 강하고 빠르게 타격을 입히고 있는 것으로 나타났습니다. 이는 과거 2022년과 2023년에 독일이 겪었던 고강도 압박 수준으로의 본격적인 회귀를 의미합니다.
사이버 범죄자들의 독일 재공략
2025년 독일은 유럽 내 데이터 유출 공격의 최전방 타겟이 되었습니다. 2024년에는 영국이 DLS 피해 사례에서 선두를 차지했으나, 최근의 이러한 변화는 2022년과 2023년 독일 인프라 전반에서 관찰되었던 강력한 압박이 다시금 되살아났음을 반영합니다.
이러한 집중 공격은 단순히 유럽 내 기업 수 때문이 아닙니다. 실제 독일은 프랑스나 이탈리아보다 활동 중인 기업 수가 더 적습니다. 그럼에도 불구하고 협박 그룹들이 독일을 지속적으로 선호하는 이유는, 고도로 발달한 유럽 경제 대국이라는 위상과 더불어 산업 기반의 디지털화가 가속화되고 있기 때문입니다.
그림 1: 2025년 유럽 국가별 데이터 유출 피해 비중
이러한 공세의 확산 속도는 특히 주목할 만합니다. 2024년 활동이 상대적으로 소강상태를 보인 이후, 독일은 2025년에 데이터 유출 사례가 92% 급증했습니다. 이는 유럽 평균 성장률의 3배에 달하는 수치입니다.
그림 2: 데이터 유출 사이트에 등재된 독일 기업 피해 사례 수, 2024년 대비 2025년 92% 증가
2025년 유럽 랜섬웨어 트렌드에는 여러 요인이 영향을 미쳤지만, 데이터 유출 규모에서 매우 눈에 띄는 대조가 나타났습니다. 영국 기반 조직에 대한 셰이밍 사이트(Shaming-site, 데이터 공개 협박 사이트) 게시물은 감소세를 보인 반면, 비영어권 국가(특히 독일)에서는 급증하는 양상을 보였습니다. 이러한 변화는 여러 요인이 결합된 결과입니다. 고품질 현지화 작업을 자동화하기 위한 AI 활용 등 사이버 범죄 생태계가 지속적으로 고도화되면서, 과거 언어 장벽이 제공했던 방어막이 점점 더 허물어지고 있습니다.
그러나 이러한 "언어적 선회(Linguistic pivot)"는 피해자 프로필의 변화에 의해서도 뒷받침됩니다. 북미와 영국의 대규모 '빅 게임(Big Game)' 표적들이 보안 태세를 강화하거나 사이버 보험을 활용해 사건을 비공개로 해결함에 따라, 위협 행위자들은 독일의 '미텔슈탄트(Mittelstand, 중소·중견기업)'라는 "무르익은 시장(Ripe markets)"으로 공격 방향을 틀고 있는 것으로 보입니다(이 부분은 본문 후반부에서 자세히 다룹니다).
구글 위협 인텔리전스 그룹(GTIG)은 또한 다수의 사이버 범죄 그룹이 독일 기업에 대한 접근 권한을 구하며, 피해자로부터 갈취한 금액의 일정 비율을 수익으로 제공하겠다는 내용의 광고를 게시하는 것을 관찰했습니다. 예를 들어, 2024년 11월로 거슬러 올라가면 사코마(Sarcoma)로 알려진 위협 행위자는 독일을 포함한 여러 선진국의 기업들을 표적으로 삼아왔습니다.
그림 3: 독일 내 피해자를 표적으로 삼기 위해 파트너십을 구하는 공격자의 포럼 게시물
2025년 데이터가 독일 데이터 유출 규모 면에서 기록적인 한 해를 보여주고 있지만, 이러한 수치들을 어느 정도 주의를 기울여 맥락에 따라 해석하는 것이 중요합니다. DLS(데이터 유출 사이트) 수치에만 의존하는 것은 오해를 불러일으킬 수 있는데, 이는 위협 행위자들이 통상적으로 협박 협상을 거부하거나 완료하지 않은 피해자들만 사이트에 게시하기 때문입니다. 랜섬웨어 지불률 하락에 관한 공개 보고서들은, 공격자들이 2차 압박 수단으로 셰이밍 사이트 게시를 점점 더 많이 활용하면서 수치 상승을 부채질하고 있음을 보여줍니다. 결과적으로 독일에서의 급증 현상은 매우 중대한 트렌드이지만, 이러한 지표들은 더 광범위하고 복잡한 위협 지형의 한 구성 요소로 보아야 합니다.
사이버 범죄 생태계의 다양화
2025년 사이버 범죄 생태계는 내부 갈등과 더불어 락비트(LOCKBIT)나 알프브이(ALPHV)와 같은 대형 '빅 게임' 운영 조직에 대한 수사 기관의 강력한 검거 작전으로 인해 상당한 혼란을 겪었습니다. 랜섬웨어 시장 최상위권에 발생한 이러한 공백은, 기민하게 움직이는 수많은 중위권 DLS 브랜드들의 난립으로 이어졌습니다. 독일 내에서 이러한 시장 재편 현상은 매우 뚜렷하게 나타납니다. 기존의 유명 브랜드들이 물러난 자리를 더 넓은 범위의 경쟁자들이 흡수하며 시장 점유율을 나누어 가졌습니다.
그림 4: 2025년 데이터 유출 사이트 내 독일 기업 피해 사례 급증 추이
락비트(LockBit)의 세력이 약화된 이후, 세이프페이(SAFEPAY)와 킬린(Qilin) 같은 그룹들이 독일 보안 지형에서 크게 부상했습니다. 특히 세이프페이는 2025년 한 해 동안 76개의 독일 기업을 침해했다고 주장했는데, 이는 그해 전체 독일 기업 피해 게시물의 25%에 달하는 수치입니다. 한편, 킬린은 2025년 3분기 독일에서의 활동 속도를 3배로 높였습니다. 이러한 증가는 킬린의 전 세계적인 활동 급증과 궤를 같이하지만, 2026년 초에만 이미 13개의 피해 사례를 게시하는 등 독일 표적에 대한 지속적인 집중은 그들의 글로벌 확장과 발맞춰 독일 내 영향력 또한 커지고 있음을 보여줍니다.
그림 5: 세이프페이(SafePay)가 유출한 독일 회사(이름 비공개)의 데이터
너무 작은 기업'이란 없다: 미텔슈탄트(중소·중견기업)를 향한 공격
글로벌 대기업들이 사이버 범죄 관련 헤드라인을 장악하는 경우가 많다 보니, 소규모 기업은 표적이 되기에 "너무 작다"는 근거 없는 믿음이 지속되어 왔습니다. 하지만 2025년 데이터는 전혀 다른 이야기를 들려줍니다. 독일 랜섬웨어 유출 사례의 96%가 직원 수 5,000명 미만의 조직에서 발생했습니다. 이 수치는 독일 경제의 구조적 구성과 대체로 일치하지만, 대중의 인식과 실제 공격 패턴 사이의 우려스러운 격차를 여실히 보여줍니다. 세간의 주목을 받는 것은 '빅 게임' 공격일지 모르나, 중소 규모 피해자들 사이에서 발생하는 방대한 양의 데이터 유출은 이들이 사이버 범죄자들에게 매우 매력적인 타겟임을 증명합니다. 이는 주로 대기업에 비해 충분한 보안 인력과 전문적인 자원이 부족하기 때문입니다.
미텔슈탄트를 겨냥한 이러한 공격은 독일 대기업 및 다국적 기업들에게 심각한 2차 위험을 초래합니다. 대기업 자체는 강력한 방어 체계를 갖추고 있을지 모르나, 공급업체와 협력사로 이루어진 광범위한 생태계는 민감한 데이터를 관리하거나 특권 네트워크 접근 권한을 유지하는 경우가 많기 때문입니다. 이러한 시스템적 허점을 해결하기 위해 대기업은 수동적인 모니터링 수준을 넘어 능동적인 공급망 위험 관리 체계로 진화해야 합니다. 즉, 협력업체 등급화(Vendor tiering)를 실시하고 다요소 인증(MFA)을 강제하여 현대 사이버 범죄자들이 선호하는 측면 이동(Lateral movement)을 원천 차단해야 합니다.
그림 6: 데이터 유출 사이트에서 확인된 피해 조직 규모
조립 라인 너머를 겨냥하는 공격
독일의 산업 기반은 여전히 사이버 범죄자들의 주요 표적이며, 2025년 다크웹 전체 유출 사례 중 제조업이 23%를 차지했습니다. 그러나 독일의 사이버 범죄 지형은 다양성이 특징으로, 법률 및 전문 서비스(14%), 건설 및 엔지니어링(11%), 유통(10%) 분야 역시 모두 공격 대상이 되었습니다.
2025년 데이터에서 가장 주목할 만한 변화는 법률 및 전문 서비스 부문의 성장입니다. 이러한 증가는 의도적일 가능성이 높습니다. 이들 기업은 지식 재산권, 재무 전략, 인수합병(M&A) 계획 등 고객의 민감한 데이터를 관리하는 신뢰받는 수탁자 역할을 하기 때문에 고부가가치 표적이 됩니다. 이를 통해 사이버 범죄자들은 1차 피해자 이상의 막대한 갈취 금액을 이끌어낼 수 있을 뿐만 아니라, 전체 고객 기반에 대한 하향식 영향력(Downstream leverage)까지 확보할 수 있습니다.
그림 7: 독일 내 산업별 데이터 유출 피해 현황
전망
2025년의 데이터는 최근 독일에서 발생한 데이터 유출 급증이 일시적인 사건이 아니라, 과거 2022년과 2023년에 관찰되었던 고강도 압박 수준으로 회귀했음을 보여줍니다. 이러한 부활은 2026년으로 접어드는 유럽의 위협 지형이 더욱 불안정해지고 언어적으로 다양화되고 있음을 반영합니다. 독일 내 유출 사례가 92% 증가하며 2025년 유럽 평균 성장률의 3배를 기록했다는 사실은, 비영어권 국가들이 글로벌 협박 그룹들의 주요 표적으로 남아있음을 증명합니다.
락비트(LockBit)와 같이 자리를 잡았던 브랜드들의 세력이 약화되면서, 생태계는 세이프페이(SafePay)나 킬린(Qilin)과 같이 기민하게 움직이는 수많은 데이터 유출 사이트들이 난립하는 구도로 재편되었습니다. 이들 그룹은 글로벌 확장과 발맞춰 독일을 공격하고 있으며, 미텔슈탄트와 독일 전문 서비스 분야를 공격 대상이 풍부한 고부가가치 환경으로 식별한 것으로 보입니다. 위협 행위자들이 복잡한 공급망을 지속적으로 악용함에 따라, 산업 생태계의 최상단을 노리는 이들에게 규모가 작은 조직들은 여전히 핵심적인 측면 이동의 거점이 될 것입니다.
랜섬웨어가 제기하는 위협에 대응하는 데 도움이 되는 권장 사항은 구글의 백서인 랜섬웨어 보호 및 억제 전략: 엔드포인트 보호, 하드닝 및 억제를 위한 실질적인 지침에 담겨 있습니다.
